Über dieses Handbuch
Das One Identity Manager Administrationshandbuch für Privileged Account Governance beschreibt, wie Sie die Synchronisation von One Identity Safeguard mit dem One Identity Manager einrichten. Sie erfahren, wie im One Identity Manager die Benutzerkonten, Benutzergruppen, Assets, Assetgruppen, Konten, Kontogruppen, Verzeichnisse, Nutzungsrechte und Zugriffsanforderungsrichtlinien eines Privileged Account Management Systems verwaltet werden.
Dieses Handbuch wurde als Nachschlagewerk für End-Anwender, Systemadministratoren, Berater, Analysten und andere IT-Fachleute entwickelt.
HINWEIS: Dieses Handbuch beschreibt die Funktionen des One Identity Manager, die für den Standardbenutzer verfügbar sind. Abhängig von der Systemkonfiguration und den Berechtigungen stehen Ihnen eventuell nicht alle Funktionen zur Verfügung.
Verfügbare Dokumentation
Die One Identity Manager Dokumentation erreichen Sie im Manager und im Designer über das Menü Hilfe > Suchen. Die Online Version der One Identity Manager Dokumentation finden Sie im Support-Portal unter Online-Dokumentation. Videos mit zusätzlichen Informationen finden Sie unter www.YouTube.com/OneIdentity.
Verwalten eines Privileged Account Management Systems im One Identity Manager
Der One Identity Manager bietet eine vereinfachte Administration der Benutzerkonten eines Privileged Account Management Systems. Dabei konzentriert sich der One Identity Manager auf die Einrichtung und Bearbeitung von Benutzerkonten und die Zuweisung der Benutzerkonten zu Benutzergruppen. Über die Benutzergruppen erhalten Benutzerkonten die Nutzungsrechte, um beispielsweise ein Kennwort für einen Assetkonto oder eine Sitzung für die Konten und Assets im Privileged Account Management System anfordern zu können. Die Zuweisung der Nutzungsrechte an die Benutzergruppen erfolgt nicht im One Identity Manager, sondern im Privileged Account Management System. Über das Web Portal können Benutzergruppen und Anforderungen für Kennwörter und Sitzungen bestellt werden.
Im One Identity Manager werden die Identitäten eines Unternehmens mit den benötigten Benutzerkonten versorgt. Dabei können Sie unterschiedliche Mechanismen für die Verbindung der Identitäten mit ihren Benutzerkonten nutzen. Ebenso können Sie die Benutzerkonten getrennt von Identitäten verwalten und somit administrative Benutzerkonten einrichten.
Im One Identity Manager werden die Benutzerkonten, Benutzergruppen, Assets, Assetgruppen, Konten, Kontogruppen, Verzeichnisse, Nutzungsrechte und Zugriffsanforderungsrichtlinien eines Privileged Account Management Systems abgebildet. Diese Objekte werden durch die Synchronisation in die One Identity Manager-Datenbank eingelesen. Damit ist es möglich, die Identity und Access Governance Prozesse wie Attestierung, Identity Audit, Management von Benutzerkonten und Systemberechtigungen, IT Shop oder Berichtsabonnements für Privileged Account Management Systeme zu nutzen.
HINWEIS: Voraussetzung für die Verwaltung eines Privileged Account Management Systems im One Identity Manager ist die Installation des Privileged Account Governance Moduls. Ausführliche Informationen zur Installation finden Sie im One Identity Manager Installationshandbuch.
Architekturüberblick
Um auf die Daten eines Privileged Account Management Systems zuzugreifen, wird auf einem Synchronisationsserver ein Konnektor für das Privileged Account Management System installiert. Der Synchronisationsserver sorgt für den Abgleich der Daten zwischen der One Identity Manager-Datenbank und dem Privileged Account Management System.
Der One Identity Manager unterstützt die Synchronisation mit One Identity Safeguard. Der One Identity Safeguard Konnektor des One Identity Manager verwendet PowerShell für die Kommunikation mit der One Identity Safeguard Appliance.
One Identity Manager Benutzer für die Verwaltung eines Privileged Account Management Systems
In die Einrichtung und Verwaltung eines Privileged Account Management Systems sind folgende Benutzer eingebunden.
Tabelle 1: Benutzer
Zielsystemadministratoren |
Die Zielsystemadministratoren müssen der Anwendungsrolle Zielsysteme | Administratoren zugewiesen sein.
Benutzer mit dieser Anwendungsrolle:
-
Administrieren die Anwendungsrollen für die einzelnen Zielsystemtypen.
-
Legen die Zielsystemverantwortlichen fest.
-
Richten bei Bedarf weitere Anwendungsrollen für Zielsystemverantwortliche ein.
-
Legen fest, welche Anwendungsrollen für Zielsystemverantwortliche sich ausschließen.
-
Berechtigen weitere Identitäten als Zielsystemadministratoren.
-
Übernehmen keine administrativen Aufgaben innerhalb der Zielsysteme. |
Zielsystemverantwortliche |
Die Zielsystemverantwortlichen müssen der Anwendungsrolle Zielsysteme | Privileged Account Management oder einer untergeordneten Anwendungsrolle zugewiesen sein.
Benutzer mit dieser Anwendungsrolle:
-
Übernehmen die administrativen Aufgaben für das Zielsystem.
-
Erzeugen, ändern oder löschen die Zielsystemobjekte.
-
Bearbeiten Kennwortrichtlinien für das Zielsystem.
-
Bereiten Gruppen zur Aufnahme in den IT Shop vor.
-
Können Identitäten anlegen, die nicht den Identitätstyp Primäre Identität haben.
-
Konfigurieren im Synchronization Editor die Synchronisation und definieren das Mapping für den Abgleich von Zielsystem und One Identity Manager.
-
Bearbeiten Zielsystemtypen sowie die ausstehenden Objekte einer Synchronisation.
-
Berechtigen innerhalb ihres Verantwortungsbereiches weitere Identitäten als Zielsystemverantwortliche und erstellen bei Bedarf weitere untergeordnete Anwendungsrollen.
-
Berechtigen innerhalb ihres Verantwortungsbereiches Identitäten als Eigentümer von privilegierten Objekten. |
One Identity Manager Administratoren |
Administratoren sind administrative Systembenutzer. Administrative Systembenutzer werden nicht in Anwendungsrollen aufgenommen.
Administratoren:
-
Erstellen bei Bedarf im Designer kundenspezifische Berechtigungsgruppen für Anwendungsrollen für die rollenbasierte Anmeldung an den Administrationswerkzeugen.
-
Erstellen bei Bedarf im Designer Systembenutzer und Berechtigungsgruppen für die nicht-rollenbasierte Anmeldung an den Administrationswerkzeugen.
-
Aktivieren oder deaktivieren im Designer bei Bedarf zusätzliche Konfigurationsparameter.
-
Erstellen im Designer bei Bedarf unternehmensspezifische Prozesse.
-
Erstellen und konfigurieren bei Bedarf Zeitpläne.
-
Erstellen und konfigurieren bei Bedarf Kennwortrichtlinien. |
Produkteigner für den IT Shop |
Die Produkteigner müssen der Anwendungsrolle Request & Fulfillment | IT Shop | Produkteigner oder einer untergeordneten Anwendungsrolle zugewiesen sein.
Benutzer mit dieser Anwendungsrolle:
-
Entscheiden über Bestellungen.
-
Bearbeiten die Leistungspositionen und Servicekategorien, für die sie verantwortlich sind.
Bei der automatischen Übernahme von lokalen PAM Benutzergruppen in den IT Shop wird die Anwendungsrolle Request & Fulfillment | IT Shop | Produkteigner | PAM Benutzergruppen verwendet. |
Eigentümer privilegierter Objekte |
Die Eigentümer privilegierter Objekte wie PAM Assets, PAM Assetkonten, PAM Verzeichniskonten, PAM Assetgruppen und PAM Kontogruppen müssen einer Anwendungsrolle unter der Anwendungsrolle Privileged Account Governance | Asset- und Konteneigentümer zugewiesen sein.
Benutzer mit dieser Anwendungsrolle:
|
Administratoren für den IT Shop |
Die Administratoren müssen der Anwendungsrolle Request & Fulfillment | IT Shop | Administratoren zugewiesen sein.
Benutzer mit dieser Anwendungsrolle:
|
Administratoren für Organisationen |
Die Administratoren müssen der Anwendungsrolle Identity Management | Organisationen | Administratoren zugewiesen sein.
Benutzer mit dieser Anwendungsrolle:
|
Administratoren für Geschäftsrollen |
Die Administratoren müssen der Anwendungsrolle Identity Management | Geschäftsrollen | Administratoren zugewiesen sein.
Benutzer mit dieser Anwendungsrolle:
|